Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für den Fehler "403 Verboten", der auftritt, wenn Sie versuchen, Den Graph-Explorer zum Überprüfen oder Ändern von Microsoft Intune-Objekten zu verwenden.
Problembeschreibung
Wenn Sie versuchen, Abfragen im Graph-Explorer auszuführen, um Microsoft Intune-Objekte unter dem https://graph.microsoft.com/beta/deviceManagement
Namespace zu prüfen oder zu ändern, wird eine Fehlermeldung angezeigt:
Fehler – Statuscode 403. Anscheinend verfügen Sie möglicherweise nicht über die Berechtigungen für diesen Aufruf. Bitte ändern Sie Ihre Berechtigungen.
{
"error": {
"code": "Verboten",
"message": "{\r\n \"_version\": 3,\r\n \"Message\": \"Die Anwendung ist nicht berechtigt, diesen Vorgang auszuführen. Die Anwendung muss über einen der folgenden Bereiche verfügen: DeviceManagementConfiguration.Read.All, DeviceManagementConfiguration.ReadWrite.All – Vorgangs-ID (für Kundensupport): 0000000-0000-0000-0000-0000000000 - Aktivitäts-ID: 5c977c7f-ae03-4be0-82c2-408eafb65caf - Url: <https://fef.msub05.manage.microsoft.com/DeviceConfiguration_1911/StatelessDeviceConfigurationFEService/deviceManagement?api-version=5019-09-20
>\",\r\n \"CustomApiErrorPhrase\": \"\",\r\n \"RetryAfter\": null,\r\n \"ErrorSourceService\": \"\",\r\n \"HttpHeaders\": \"{}\"\r\n}",
"innerError": {
"request-id": "5c977c7f-ae03-4be0-82c2-408eafb65caf",
"date": "2019-11-15T18:53:00"
}
}
}
Ursache
Dieses Problem tritt auf, da das Konto, das Sie für den Zugriff auf Graph-Explorer verwenden, nicht über die erforderlichen Lese- und Lese-/Schreibberechtigungen für die Intune-Gerätekonfiguration und -richtlinien verfügt.
Lösung
Um dieses Problem zu beheben, führen Sie die folgenden Schritte aus, um Ihre Kontoberechtigungen zu ändern.
Melden Sie sich beim Graph-Explorer an, indem Sie sich bei Microsoft anmelden, wenn Sie dies noch nicht getan haben.
Wählen Sie in der Fehlermeldung "Ändern Ihrer Berechtigungen" aus.
Stellen Sie im Dialogfeld "Berechtigungen ändern" sicher, dass die folgenden Berechtigungen ausgewählt sind:
- DeviceManagementConfiguration.Read.All
- DeviceManagementConfiguration.ReadWrite.All
Wählen Sie " Berechtigungen ändern" aus.
Notiz
Sie sollten vom Graph-Explorer abgemeldet und aufgefordert werden, Anmeldeinformationen auszuwählen. Wenn dies nicht automatisch auftritt, schließen Sie den Browser, und öffnen Sie den Graph-Explorer erneut.
Wenn Sie das nächste Mal versuchen, mithilfe desselben Kontos auf graph-Explorer zuzugreifen, werden Sie von einem Dialogfeld "Berechtigungen angefordert " aufgefordert, das wie folgt aussieht.
Wählen Sie "Annehmen" aus, um die änderungen anzuwenden, die Sie in Schritt 3 vorgenommen haben. Wenn Anderen Intune-Administratoren auch Zugriff auf die Website gewährt werden soll, wählen Sie "Zustimmung" im Namen Ihrer Organisation aus. Ausführliche Informationen zu dieser Auswahl finden Sie weiter unten unter "Weitere Informationen zur Zustimmung von Berechtigungen".
Stellen Sie sicher, dass Ihre Berechtigungen richtig festgelegt sind. Wählen Sie dazu die Berechtigungen für Ihr Konto ändern aus, und stellen Sie dann sicher, dass die folgenden Berechtigungen erteilt werden:
- DeviceManagementConfiguration.Read.All
- DeviceManagementConfiguration.ReadWrite.All
Zurücksetzen Ihres Mandanten auf Standardeinstellungen
Wenn Sie dieses Problem weiterhin nicht beheben können, können Sie Ihren Mandanten auf die Standardeinstellungen zurücksetzen. Führen Sie die folgenden Schritte aus, um eine Graph Explorer-Unternehmensanwendungskonfiguration sicher zu löschen und erneut zu erstellen.
Wichtig
Um Probleme zu vermeiden, die sich auf das Zwischenspeichern von Browsern auswirken, navigieren Sie im InPrivate - oder Inkognito-Modus , wenn Sie Zugriffsberechtigungen behandeln.
Melden Sie sich bei der Azure-Portal an, wechseln Sie zu Microsoft Entra ID>Enterprise-Anwendungen, und wählen Sie dann den Graph-Explorer aus der Liste der Anwendungen aus.
Wählen Sie in den Graph-Explorer-Einstellungen "Eigenschaften verwalten">aus.
Wählen Sie "Löschen" aus, und bestätigen Sie das Dialogfeld "Warnung".
Warten Sie, bis der Anwendungsdiagramm-Explorer aus der Azure-Portal erfolgreich gelöscht wurde.
Melden Sie sich beim Graph-Explorer an, indem Sie "Mit Microsoft anmelden" auswählen. Wenn die App erfolgreich gelöscht wurde, werden Sie aufgefordert, die Standardberechtigungen zu akzeptieren.
Notiz
Es kann mehrere Minuten Verzögerung geben, zwischen dem Sie den Zugriff auf graph-Explorer entfernen, bis die Berechtigungen in der Anwendung wirksam werden.
Weitere Informationen zur Zustimmung von Berechtigungen
Wenn Sie sich zum ersten Mal beim Graph-Explorer anmelden, werden Sie von einem Dialogfeld mit den angeforderten Berechtigungen aufgefordert, das etwa wie folgt aussieht.
Indem Sie "Annehmen" auswählen, erteilen Sie der App Berechtigungen für Ihr Anmeldekonto. Indem Sie "Zustimmung" im Namen Ihrer Organisation auswählen, erlauben Sie anderen Konten, auch den Graph-Explorer zum Abfragen von Intune-Verwaltungsobjekten zu verwenden. Dadurch wird eine Enterprise-Anwendung in der Microsoft Entra-ID erstellt, die die folgenden Einstellungen aufweist:
- Name: Graph-Explorer
- Anwendungs-ID: de8bc8b5-d9f9-48b1-a8ad-b748da725064
- Objekt-ID: eindeutige GUID
- Benutzer kann sich anmelden: Ja
- Benutzerzuweisung erforderlich: Nein
- Für Benutzer sichtbar: Ja
- Benutzer und Gruppen: Standardmäßig nur das Konto, das zuerst Zugriff im Dialogfeld "Berechtigungen angefordert" gewährt hat .
Im Folgenden sind die Standardbenutzerberechtigungen aufgeführt, die festgelegt werden, nachdem Sie der Benutzerzustimmung Zugriff erteilt haben.
Notiz
Sie können die Berechtigungen im Azure-Portal im folgenden Pfad anzeigen:
Microsoft Entra ID>Enterprise-Anwendungen>Alle Anwendungen>Graph Explorer>Benutzer und Gruppen<>Kontonamen>>Anwendungen>Zuordnungsdetails>Berechtigungen & Zustimmung
API-Name | type | Berechtigung | Gewährt über |
---|---|---|---|
Microsoft Graph | Delegiert | Anmelden von Benutzern | Benutzerzustimmung |
Microsoft Graph | Delegiert | Anzeigen der grundlegenden Profile von Benutzern | Benutzerzustimmung |
Microsoft Graph | Delegiert | Lese- und Schreibzugriff auf Benutzerprofile | Benutzerzustimmung |
Microsoft Graph | Delegiert | Grundlegende Profile aller Benutzer lesen | Benutzerzustimmung |
Microsoft Graph | Delegiert | Bearbeiten oder Löschen von Elementen in allen Websitesammlungen | Benutzerzustimmung |
Microsoft Graph | Delegiert | Vollzugriff auf Benutzerkontakte | Benutzerzustimmung |
Microsoft Graph | Delegiert | Lesen der relevanten Personenlisten der Benutzer | Benutzerzustimmung |
Microsoft Graph | Delegiert | Lesen und Schreiben aller OneNote-Notizbücher, auf die Benutzer zugreifen können | Benutzerzustimmung |
Microsoft Graph | Delegiert | Erstellen, Lesen, Aktualisieren und Löschen von Benutzeraufgaben und Projekten | Benutzerzustimmung |
Microsoft Graph | Delegiert | Lese- und Schreibzugriff auf Benutzer-E-Mails | Benutzerzustimmung |
Microsoft Graph | Delegiert | Vollzugriff auf alle Dateien haben, auf die Benutzer zugreifen können | Benutzerzustimmung |
Microsoft Graph | Delegiert | Vollzugriff auf Benutzerkalender | Benutzerzustimmung |
Wenn Sie "Zustimmung" im Namen Ihrer Organisation auswählen, verfügen Sie über die folgenden Berechtigungen unter "Administratorzustimmung".
API-Name | type | Berechtigung | Gewährt über |
---|---|---|---|
Microsoft Graph | Delegiert | Anmelden von Benutzern | Administratorzustimmung |
Microsoft Graph | Delegiert | Anzeigen der grundlegenden Profile von Benutzern | Administratorzustimmung |
Microsoft Graph | Delegiert | Lese- und Schreibzugriff auf Benutzerprofile | Administratorzustimmung |
Microsoft Graph | Delegiert | Grundlegende Profile aller Benutzer lesen | Administratorzustimmung |
Microsoft Graph | Delegiert | Bearbeiten oder Löschen von Elementen in allen Websitesammlungen | Administratorzustimmung |
Microsoft Graph | Delegiert | Vollzugriff auf Benutzerkontakte | Administratorzustimmung |
Microsoft Graph | Delegiert | Lesen der relevanten Personenlisten der Benutzer | Administratorzustimmung |
Microsoft Graph | Delegiert | Lesen und Schreiben aller OneNote-Notizbücher, auf die Benutzer zugreifen können | Administratorzustimmung |
Microsoft Graph | Delegiert | Erstellen, Lesen, Aktualisieren und Löschen von Benutzeraufgaben und Projekten | Administratorzustimmung |
Microsoft Graph | Delegiert | Lese- und Schreibzugriff auf Benutzer-E-Mails | Administratorzustimmung |
Microsoft Graph | Delegiert | Vollzugriff auf alle Dateien haben, auf die Benutzer zugreifen können | Administratorzustimmung |
Microsoft Graph | Delegiert | Vollzugriff auf Benutzerkalender | Administratorzustimmung |